SSLVPN的技術原理與應用

SSLVPN的技術原理與應用概述產生背景機可能不夠安全，這些都為公司內部網絡帶來了安全隱患。通過加密實現(xiàn)安全接入的VPN——SVPN〔SecurityVPN〕技術供給了一種安全機制，保護公司的內部網絡不被攻擊，內部資源不被竊取。SVPN技術主要包括IPsecVPNSSLVPN。IPsecVPNIPsecVPN網絡時，需要在用戶主機上安裝簡單的客戶端軟件。而遠程用戶的VPN可以快速部署客戶端，并動態(tài)建立連接；遠程終端的多樣性還要求VPN的客戶端具有跨平臺、易于升級和維護等特點。這些問題是IPsecVPN技術難以解決的。起公司內部網絡感染病毒。IPsecIP報文的內容無法識別，因而不能掌握高層應用的訪問懇求。隨著企業(yè)經營模式的轉變，企業(yè)需要建立Extranet，與效地掌握，才能保證企業(yè)信息系統(tǒng)的安全，而IPsecVPN無法實現(xiàn)訪問權限的掌握。在簡單的組網環(huán)境中，IPsecVPNNAT的場合，IPsecVPNNAT穿越技術；在部署防火墻的網絡環(huán)境中，由于IPsecTCP/UDP頭IPsecIPsec報文通過。IPsecVPN比較適合連接固定，對訪問掌握要求不高的場合，無法滿足用戶隨時隨地以多種方式接入網絡、對用戶訪問權限進展嚴格限制的需求。SSLVPNIPsecVPN有效的權限治理而成為遠程接入市場上的貴。技術優(yōu)點SSLVPNS為根底的VPN技術，它利用SSLSSLVPN具有如下優(yōu)點：SSLSSLVPN供給的安全性而不必理睬具體細節(jié)。SSL已經成為網絡中用來鑒別網站和網頁掃瞄者身份，在掃瞄器WebSSL協(xié)議已被集成到大局部IE、Netscape、Firefox等。這就意味著幾乎任意一臺裝有掃瞄器的計算SSL連接。SSLVPNSSL協(xié)議，絕大多數(shù)的軟件運行環(huán)境都可以作SSLVPN客戶端。支持自動安裝和卸載客戶端軟件。在某些需要安裝額外客戶端軟件的應用中，SSLVPNSSLVPN客戶端軟件，極大地便利了用戶的使用。支持對客戶端主機進展安全檢查。SSLVPN可以對遠程主機的安全狀態(tài)進展評估，可以推斷遠程主機是否安全，以及安全程度的凹凸。全時，開放較小的訪問權限；在遠程主機安全性較高時，則開放較大的訪問權限。SSLVPN網關支持多種用戶認證方式和細粒度的資源訪問掌握，實現(xiàn)了外網用戶對內網資源的受控訪問。SSLVPN的部署不會影響現(xiàn)有的網絡。SSLIP報TCP報文頭，因此，SSLNAT來說是透亮的；SSL443號端口，只了網絡治理員的工作量，還可以提高網絡的安全性。SSLVPNSSLVPN網絡部署的開銷，SSLVPN網關上可以創(chuàng)立多個域，企業(yè)或部門在各自域內獨立地治理自己的資源和用戶。通過創(chuàng)立多個域，可以將一個實際的SSLVPNSSLVPN網關。SSLVPN技術實現(xiàn)概念介紹SSLVPNSSLVPN網關的治理者，可以創(chuàng)立域，設置域治理員的密碼。域治理員：負責治理所在域，可以創(chuàng)立本地用戶和資源、設置用戶訪問權限等。域管理員可能是某個企業(yè)的網管人員。一般用戶：簡稱用戶，為效勞器資源訪問者，權限由域治理員指定。SSLVPN系統(tǒng)組成1SSLVPN典型組網架構SSLVPN1SSLVPNPDA等。SSLVPN網關：SSLVPN系統(tǒng)中的重要組成局部。治理員在SSLVPN網關上維護SSLVPNSSLVPN網關負責在遠程主機和企業(yè)網內效勞器之間轉發(fā)報文SSLVPN網關與遠程主機之間建立SSL連接，以保證數(shù)據傳輸?shù)陌踩?。企業(yè)網內的效勞器：可以是任意類型的效勞器，如Web效勞器、FTP效勞器，也可以是企業(yè)網內需要與遠程接入用戶通信的主機。CASSLVPN網關頒發(fā)包含公鑰信息的數(shù)字證書，以便遠程主機驗證SSLVPNSSLVPNSSL連接。認證效勞器：SSLVPN網關不僅支持本地認證，還支持通過外部認證效勞器對用戶的身份進展遠程認證。SSLVPN工作過程SSLVPNSSLVPN網關上創(chuàng)立域。SSLVPN網關上創(chuàng)立用戶和企業(yè)網內效勞器對應的資源。SSLVPN網關訪問企業(yè)網內效勞器。超級治理員創(chuàng)立域2超級治理員創(chuàng)立域2超級治理員在遠程主機上輸入SSLVPNSSLVPN網關之間SSLSSLSSLVPN網關和遠程主機進展基于證書的身份驗證。SSLSSLVPNWeb名、密碼和認證方式。SSLVPN網關依據輸入的信息對超級治理員進展身份驗證。身份驗SSLVPNWeb治理頁面。SSLVPN網關上創(chuàng)立域，并設置域治理員密碼。域治理員創(chuàng)立用戶和企業(yè)網內效勞器對應的資源圖3域治理員創(chuàng)立用戶和企業(yè)網內效勞器對應的資源如圖3所示，域治理員創(chuàng)立用戶和企業(yè)網內效勞器對應資源的過程為：域治理員在遠程主機上輸入SSLVPNSSLVPN網關之間建SSLSSLSSLVPN網關和遠程主機進展基于證書的身份驗證。SSLSSLVPNWeb密碼和認證方式。SSLVPN網關依據輸入的信息對域治理員進展身份驗證。身份驗證成功后SSLVPNWeb治理頁面。SSLVPN網關上創(chuàng)立用戶和企業(yè)網內效勞器對應的資源，并設定用戶對資源的訪問權限。用戶訪問企業(yè)網內效勞器4用戶訪問企業(yè)網內效勞器4SSLVPNSSLVPN網關之間建立SSLSSLSSLVPN網關和遠程主機進展基于證書的身份驗證。SSLSSLVPNWeb密碼和認證方式。SSLVPN網關依據輸入的信息對一般用戶進展身份驗證。身份驗證成功后SSLVPNWeb訪問頁面。Web訪問頁面上查看可以訪問的資源列表，如Web效勞器資源、文件共享資源等。用戶選擇需要訪問的資源，通過SSLSSLVPN網關。SSLVPN網關解析懇求，檢查用戶權限，假設用戶可以訪問該資源，則以明文的形式將懇求轉發(fā)給效勞器。效勞器將響應報文以明文的形式發(fā)送給SSLVPN網關。SSLVPN網關接收到效勞器的應答后，將其通過SSL連接轉發(fā)給用戶。SSLVPN接入方式SSLVPNWeb接入方式TCP接入方式IP接入方式通過不同的接入方式，用戶可以訪問不同類型的資源；不同接入方式下，SSLVPN網關在遠端主機和企業(yè)網內效勞器之間轉發(fā)數(shù)據的過程也有所不同。下面將分別對其進展介紹。Web接入方式WebS方式、通過SSLVPN訪問，即一切數(shù)據的顯示和操作都是通過WebWebWebWeb效勞器資源Web效勞器以網頁的形式為用戶供給效勞，用戶可以通過點擊網頁中的超鏈接，在不同的網頁之間跳轉，以掃瞄網頁獵取信息。SSLVPN為用戶訪問Web且可以防止非法用戶訪問受保護的Web5Web資源訪問機制5WebSSLVPNSSLVPNURL中的路徑映射到資懇求轉發(fā)到被懇求資源對應的真正的Web效勞器；SSLVPN回應消息后，將網頁中的內網鏈接修改為指向SSLVPN網SSLVPN并實現(xiàn)訪問掌握。SSLVPN回應消息發(fā)送給用戶。Web應答都來自于SSLVPNWebSSLVPN文件共享資源文件共享是一種常用的網絡應用，實現(xiàn)了對遠程網絡效勞器或者主機上文件系統(tǒng)進展操作〔如掃瞄文件夾、上傳文件、下載文件等〕Windows操作系統(tǒng)上的共享文件夾應用。SSLVPN網關將文件共享資源以Web6中，SSLVPNSSLVPNSSSSLVPN網關。SSLVPNSMB協(xié)議通信：SSLVPN網關接收到懇求后，將SMB協(xié)議報文，發(fā)送給文件效勞器。SSLVPN網關后，SSLVPNS報文后，發(fā)送給遠程主機。6文件共享資源訪問示意圖TCP接入方式TCP接入方式用于實現(xiàn)應用程序對效勞器開放端口的安全訪問。通過TCP接入方式，用戶可以訪問任意基于TCP的效勞，包括遠程訪問效勞〔如Telnet〕、桌面共享效勞、郵件效勞等。用戶利用TCPTCP裝專用的TCPSSL7所示，用戶利用TCPTCPSSLVPNTCP接入客戶端軟件。SSLVPNWebTCP應用程序〔例如翻開遠程桌面連接程序，連接到遠程的內網效勞器〕的方式訪問TCP應用資源時，客戶SSLVPNSSL消息懇求訪問該資源。SSLVPN網關與該資源對應的內網效勞器建立TCP連接。連接建立成功后，用戶訪問內網效勞器的數(shù)據由TCPSSL連接安全SSLVPN網關，SSLVPN網關獵取應用層數(shù)據，通過已經建立的TCP連接發(fā)送給內網效勞器。SSLVPN網關接收到內網效勞器的應答后，通過SSL連接將其發(fā)送給遠程主機的客戶端軟件，客戶端軟件獵取效勞器應答數(shù)據，將其轉發(fā)給應用程序。7TCP接入方式工作流程IP接入方式IPIP機與效勞器的互通，如在遠程主機上ping用戶通過IPIP件會在主機上安裝一個虛擬網卡。8所示，用戶利用IPIPSSLVPNIP接入客戶端軟件，該SSLVPNSSL連接，為虛擬網卡申請地址，并設置網關地址和以虛擬網卡為出接口的路由。SSLVPNWebIP〔例如，ping命令〕IP網絡資源時，IP報文依據路由發(fā)送到虛擬網卡，被客戶端軟SSLSSLVPN網關。SSLVPNIP報文，發(fā)往對應的效勞器。SSLVPN網關接收到效勞器的回應報文后，將報文封裝后通過SSL連接發(fā)送到遠程IP接入客戶端軟件?？蛻舳塑浖夥庋b后通過虛擬網卡將IP報文交給遠程主機處理。8IP接入方式工作流程ComwareV5平臺實現(xiàn)的技術特色客戶端免安裝，免維護遠程主機上運行的客戶端軟件包括：SSLWeb掃瞄器：目前大多數(shù)操作系統(tǒng)都供給了掃瞄器，并支持SSL協(xié)議。利用操作系統(tǒng)自帶的掃瞄器，就可以實現(xiàn)Web接入方式。載并安裝主機檢查器。緩存去除器：用來在用戶退出SSLVPNSSLVPN通信過程中使用的程主機自動下載并安裝緩存去除器。TCP接入客戶端：TCP接入方式中用到的客戶端軟件。IP接入客戶端：IP接入方式中用到的客戶端軟件。WebSSLVPN客戶端軟件支持自動下載、自動安裝、自動配置、自動建立連接，使用格外便利。支持多種用戶認證技術SSLVPNSSLVPN網關上創(chuàng)立本地用戶，通過將用戶輸入的用戶名和密碼與本地保存的用戶名和密碼比較，來驗證用戶的身份是否合法。RADIUS認證：用戶信息保存在RADIUS效勞器上，SSLVPNRADIUS客RADIUS效勞器交互認證消息，來驗證用戶的身份是否合法。LDAPLDAP效勞器上，SSLVPNLDAP客戶端查LDAP效勞器上的用戶信息，來驗證用戶的身份是否合法。AD認證：LDAP認證方式的一種，MicrosoftLDAPAD。用戶通過掃瞄器連接到SSLVPN網關后進入登錄頁面，輸入用戶名、密碼和認證方式，這些信息通過SSL連接傳輸?shù)絊SLVPNSSLVPN信息后，依據認證方式進展認證。SSLVPN豐富敏捷的安全策略擔憂全遠程主機的接入有可能對內部網絡造成安全隱患。通過主機檢查器可以在用戶登錄SSLVPN時，檢查主機的操作系統(tǒng)版本及其補丁、掃瞄器版本及其補丁、防火墻版本、殺毒軟件版本等，依據檢查的結果來推斷該用戶主機能夠訪問哪些資源。SSLVPN才能訪問相應的資源。細粒度的資源訪問掌握SSLVPN的資源訪問掌握機制可以便利敏捷地掌握用戶訪問權限，實現(xiàn)細粒度的資源訪問權限掌握。現(xiàn)對用戶訪問權限的掌握。SSLVPN網關還可以對遠程主機進展安全檢查，依據檢查的結果來推斷該客戶端能夠訪問哪些資源。SSLVPN網關依據安全檢查結果及用戶所在的群組找到其可以訪問的資源組，進而找到可以訪問的資源列表，從而實現(xiàn)對資源訪問的掌握。典型組網應用遠程接入組網應用9遠程接入組網應用9SSLVPNIPsecVPNSSLVPN動態(tài)的遠程接入：用戶使用各種終端設備，在任何時間、任何地點通過Internet接入公司內部網絡。部網絡。公用計算機簡潔受到攻擊、感染病毒，安全性無法得到保證。不同的遠程接入用戶具有不同的訪問權限：在使用Extranet時，遠程接入用戶可能是公司的員工、合作伙伴或其他人員，不同用戶可以訪問的資源各不一樣。程序訪問公司內部網絡。圖10SSLVPN網關作為企業(yè)網絡的入口10SSLVPN業(yè)內部網絡資源不受攻擊。圖11SSLVPN網關保護企業(yè)網內的重要效勞器11SSLVPN器資源不受攻擊的同時，對企業(yè)網絡中其它局部不會造成任何影響。共享式組網應用12共享式組網應用多個企業(yè)可以共用一個SSLVPN網關，每個企業(yè)使用一個域，在治理和使用上互不影響，從12所示，企